下一代防火墙要做的十件事

　　下一代防火墙（NGFW）与现在的防火墙有三个方面的差异 -- 安保、运行和性能。安保元素对应着安保控制的功效，并有能力管理企业网络流量方面的风险。从运行的角度来说，最大的问题是：用户的应用策略是否有效？以及管理的难度或复杂性。性能差异比较简单：防火墙怎么做能够保持吞吐量？

　　下一代防火墙要做的十件事是：
　　1.    下一代防火墙必须在任何端口上识别和控制应用，而不仅仅是标准端口（包括使用HTTP或其他协议的应用）。
　　业务案例：应用程序开发人员不再坚持把标准的端口与协议或应用程序相对应。越来越多的应用程序都能在非标准端口上运行，或者可以跳端口（如：即时消息应用程序，对等文件共享，或网?电话（VOIP））。此外，用户越来越精明，足以强迫应用程序运行在非标准端口（如：远程桌面协议（RDP），安全外壳（SSH））。为了执行特定应用与端口无关的策略，下一代防火墙必须假设任何应用可以运行在任何端口上。这是在NGFW技术上绝对必要的根本变化之一。正是这种变化，使得传统基于端口控制应用的防火墙已经过时。它还强调为什么负控制模型不能解决问题。如果一个应用程序可以移动到任何端口，基于负控制的产品将在数万个端口上运行所有签名。
　　要求：这个很简单 --如果任何应用都能运行在任何端口上-用户的下一代防火墙必须在所有端口按应用对信息流进行分类-在所有时间（见第4和7项）。否则安保控制将继续被困扰多年的相同技术所愚弄。
　　2．下一代防火墙必须识别和控制绕道者：代理、远程访问和加密隧道应用。
　　业务案例：大多数组织机构具有安保策略-并且按计划执行这些策略。代理、远程访问和加密隧道应用是专门用来绕过安保控制，如防火墙、全球资源定位器（URL）过滤、入侵防护系统（IPS）和安保Web网关。没有能力控制这些绕道者，组织就不能强制执行他们的安保策略，并且暴露自己，处于无法控制非常危险的境地。要明确，并不是所有类型的应用是相同的 --远程访问应用有合法的用途，一些加密隧道应用也一样。但是，通过安全套接字层（SSL）在随机端口进行通信的外部匿名代理，或像Ultrasurf和Tor这样的应用只有一个真正的目的 --绕开安保控制。
　　要求：有不同类型的绕道应用-- 每种使用略有不同的技术。有公共和私有两种外部代理，可以同时使用超文本传输协议（HTTP）和安全超文本传输协议（HTTPS）。私有代理往往设立非保密IP地址（例如，家用电脑），使用的应用像PHProxy或者CGIProxy。远程访问应用，如MS RDP或GoToMyPC可以有合法的应用-- 但由于相关的风险，应进行管理。其他大多数绕道者，（例如，Ultrasurf，Tor, Hamachi）没有商业用途。当然，也有未知的绕道 --见后面的第6项。无论策略的立场是什么，用户的下一代防火墙需要有具体的技术来处理所有这些应用程序，不管端口、协议、加密或其他回避策略。更多的考虑：这些应用程序会定期更新，使他们更难检测和控制。所以重要的是：不仅要了解自己的下一代防火墙能够识别这些绕道应用，还要经常更新和维护防火墙的应用智能。
　　3．下一代防火墙必须支持SSL解密出境。
　　业务案例：今天，超过15％的网络流量是经过SSL加密的（根据超过2400名的企业网络流量采样 -详见巴罗艾托网路（Palo Alto Networks）公司的"应用程序的使用和风险报告"）。在一些行业（如金融服务），这个比例超过50％。鉴于最终用户使用的许多高风险、高回报应用程序（例如，Gmail中，脸谱）越来越多地采用HTTPS，以及用户强迫在很多网站上使用SSL的情形，网络安全团队必须对SSL加密流量解密、分类、控制和扫描，不然会成为一个盲点。当然，NGFW必须足够灵活，可以让某些类型的SSL加密流量（例如，来自金融服务或医疗保健机构的网络流量）单独留下，而其他类型（例如，非标准端口的SSL，来自东欧非分类网站的HTTPS）可以通过策略解密。
　　要求：SSL解密出境的能力是一个基本的功能-- 不只是因为他占企业流量百分比日益增加，还因为他激活了其他关键功能，否则会使SSL解密能力不完整或无效（例如，控制绕道-见第2项，应用功能控制-见第4项，允许应用程序扫描-见第5项，应用程序共享相同连接的控制-见第7项）。寻找的关键元素包括：在任何端口上SSL的识别和解密，对解密的策略控制，以及对上万个同时SSL连接执行SSL解密所必要的硬件和软件元素，具有良好的性能和高吞吐量。
　　4．下一代防火墙要提供应用功能控制（例如，SharePoint管理与SharePoint文档）
　　商业案例：许多应用程序提供了很多不同的功能，这对组织和用户既提供了价值也呈现了风险。很好的例子包括：WebEx与WebEx桌面共享，雅虎的即时通讯与文件传输功能，通常的Gmail与发送附件。在监管环境或者组织非常依赖知识产权的情况下，这是个重要的问题。
　　要求：对每个应用连续分类和细分。下一代防火墙应具有对信息流的持续评估和发现变化--如果在会话中出现了不同的功能或特性，防火墙应引起注意并执行策略检查。了解每个应用的不同功能和相关风险同等重要。不幸的是，许多防火墙只对信息流分类一次，然后允许"快速通过"（解读：不再看信息流的内容）以获得更好的性能。这种方法对现在的应用已经过期，要防止那些防火墙不按这个要求办事。
　　5．下一代防火墙要在允许的协同应用中支持威胁扫描-- 例如，SharePoint、Box.net、MS Office在线。
　　商业案例：企业继续采取外部物理位置托管协同应用程序。无论托管的是SharePoint、Box.net、谷歌文档、微软的Office Live，或由合作伙伴托管的一个外网应用程序，许多组织要求使用一种共享文件的应用程序-- 换句话说，这是个高风险的威胁载体。许多受感染的文件都存储在协同应用中，包括一些包含敏感信息文件（例如，客户的个人信息）。此外，这些应用（例如，Sharepoint）仅支持常规扫描漏洞的技术（例如，IIS、SQL 服务器）。阻止这些应用不一定合适，但永远不允许威胁进入组织内部。
　　要求：应用允许启动安全部分对其进行扫描检查威胁。这些应用可用协议组合进行通信（如，SharePoint - HTTPS和CIFS，见第3项要求），比"阻止应用"需要更复杂的策略。第一步是识别应用（无论端口或加密），承认它，然后对其扫描查找的任何威胁-漏洞、病毒/恶意软件或间谍软件......甚至包括保密的、管制的或敏感的信息。
　　6．下一代防火墙要用策略处理未知信息流，而不是让他通过。
　　业务案例：总是会有未知的信息流，这始终表示了对组织的潜在风险。对未知信息流需要考虑几个重要因素-把他最小化，把他特征化，使他可被网络安全策略"知道"，达到可预见性以及对未知信息流的策略控制。
　　要求：首先，在默认情况下，下一代防火墙应尝试所有的信息流分类-- 这是早期架构中的领域，这在安保讨论中非常重要。正（默认拒绝）模型对一切信息流分类，负（默认允许）模型仅对要求分类的信息流分类。其次，对用户开发的应用程序，应该有种方法制定用户标识符-因此这种信息流可算作"已知"。第三，安全模型能够再次满足这些要求--正（默认拒绝）模型可以拒绝所有未知信息流 -- 所以用户不知道的不会伤害用户。负（默认允许）模型允许所有的未知信息流-- 所以用户不知道的可能会伤害用户。例如，许多僵尸网络使用端口53（DNS）把通信返回到他们的控制服务器。如果用户的下一代防火墙缺乏发现和控制未知信息流的能力，僵尸将会长驱直入，畅通无阻。
　　7．下一代防火墙要能识别和控制共享同一连接的应用。
　　业务案例：应用共享会话。为了确保用户连续使用一个应用"平台"，无论是谷歌、脸谱、微软、销售队伍（Salesforce）、链入（LinkedIn）还是雅虎，应用程序开发商集成了许多不同应用--这即有商业价值但也有风险状况。让我们来看看前面举过的例子：Gmail -有能力从Gmail的用户界面生成一个谷歌聊天的会话。他们是根本不同的应用，用户的下一代防火墙应该能认识到这个问题，为每个会话启用适当的策略响应。
　　要求：停止平台或网站简单的分类工作。换句话说，"快速通道"不是一个选项-- "一次完成"分类忽略了这样一个事实：应用会共享会话。必须对信息流不断评估，识别应用，发现变化（见第5项），当用户使用同一个会话切换到一个完全不同的应用时，强制执行适当的策略控制。简要查看技术要求--使用前面Gmail到谷歌聊天的例子：Gmail默认使用HTTPS（见第3项），所以第一步是解密-- 但必须是连续的，就像做应用分类，因为在任何时候，用户可能开始聊天......这需要使用一个与Gmail完全不同的策略。
　　8．下一代防火墙要对远程用户启用同一应用的可视和控制，就像本地用户一样。
　　业务案例：越来越多的用户在企业的围墙之外工作。现在企业网络的一个重要功能是具有远程工作的能力。无论在咖啡厅、家里或客户现场都可以工作，用户希望通过WiFi、无线宽带、或其他任何的手段连接他们的应用。无论用户在哪里，或他们使用的应用在哪里，应该使用相同的控制标准。如果用户的下一代防火墙仅能在企业内启用应用监视和控制信息流，而不是企业外，那就忽略了一些最危险的信息流。
　　要求：从概念上讲，这非常简单-用户的下一代防火墙必须对信息流有一致性的监视和控制，无论用户在哪里-- 内部或外部。这并不是说，企业具有相同的策略-- 某些公司可能希望员工在路上时使用Skype，而不是在总部。如果在办公室外，用户可能不会下载salesforce.com上的附件，除非他们的硬盘能够开启加密功能。用户的下一代防火墙应该可以实现：对最终用户不会引入明显的延迟，对管理员不会带来操作的麻烦，对组织不会增加显著的成本。
　　9．下一代防火墙要使网络安全更简单，而不是随着应用控制的增加更复杂。
　　商业案例：许多企业为更多信息、更多策略、更多管理而战斗。换句话说，如果团队不能管理好已经有的内容，那么增加更多的管理、策略和信息也不会有任何帮助。此外，策略的更加分散（例如，基于端口的防火墙允许使用80号口，IPS检查并阻止相关威胁和应用，安保Web网关强制执行URL过滤）--使策略的管理更加困难。管理员在哪里启用WebEx？如何解决不同设备中的策略冲突？使用的基于端口的防火墙，已有数以千计的规则，在上万个端口（见见第3项）加入数以千计的应用签名会把复杂度提高几个数量级。
　　要求：防火墙策略应基于用户和应用。对允许的信息流进行后续内容分析，但基本的访问控制应根据相关元素（即：应用和用户或组）。这具有显着的简化效果。防火墙策略基于端口和IP地址，然后进行后续分析，理解应用要比今天的情况复杂得多。
　　10．带有应用控制的下一代防火墙要提供相同的吞吐量和性能。
　　业务情况：许多企业要在性能与安保的纠结中做出妥协。在网络中过于频繁地增加安全功能，意味着降低吞吐量和性能。如果用户的下一代防火墙建立了正确的方法，这种妥协是不必要的。
　　要求：架构的重要性是显而易见的-用不同的方式。一个基于端口的防火墙结合不同技术来源的安全功能通常意味着冗余的网络层、扫描引擎和策略 --这转变成了性能不佳。从软件角度来看，防火墙的设计必须从一开始就要防止这一点。（http://www.diangon.com/版权所有）此外，对计算密集型任务的要求（例如，应用识别）在高流量和低延迟下执行，要与关键基础设施相适应，用户的下一代防火墙要有完成此任务的硬件设计-意味着要有专用、特殊处理的网络、安保（包括SSL终止 - 见第3项）和内容扫描。
　　结论：用户的下一代防火墙应该安全地启用应用。
　　用户不断采取新的应用和技术-同时他们也携带了威胁。在一些组织中，阻碍新技术的采用可能是一种职业限制举动。即使不是，应用也是员工完成工作和维持生产力利器，还是个人竞争力和专业水平领先的证明。正因为如此，启用安全是日益正确的策略立场。但为了安全地启用这些应用和技术，以及在它们之上业务，网络安全团队需要把适当的策略落实到位，控制执行它们的功能。这里所描述的十件事情，把必要的控制实施到位是至关重要的能力 --尤其是面对一种富应用和多威胁的情景。没有网络安全的基础设施，以及配合的广度和深度，安全团队就不可能为他们的企业安全地启用应用和管理风险。